Telemedicus Logo
Weiterempfehlen Drucken

Es geht wieder rund im Datenschutzrecht. Aktuell steht erneut das „Tracking” von Internet-Besuchern auf der Agenda deutscher Datenschützer. Seit der Düsseldorfer Kreis, eine Konferenz der Landesdatenschutzbeauftragten, Ende letzten Jahres beschlossen hat, Google Analytics und andere Tracking-Tools als rechtswidrig einzustufen, wird der Ton rauer und erste rechtliche Konsequenzen drohen.

Aber ist ein Verbot von Tracking-Mechanismen wirklich realistisch? Könnte das deutsche Datenschutzrecht einen Ausweg schaffen?

So funktioniert Tracking


Der Begriff des Trackings ist nicht ganz eindeutig. Wörtlich übersetzt heißt es soviel wie „das Verfolgen”, was technisch gesehen aber nicht ganz genau ist. Meist wird Tracking eher als Oberbegriff für Statistik-Software benutzt, die dazu dient, den Erfolg und die Reichweite einer Webseite zu messen. Viele solcher Programme versuchen, einzelne Benutzer einer Webseite zu „identifizieren”, um festzustellen, wie viele einzelne Personen eine Webseite aufgerufen haben, wer sie bereits früher schon einmal besucht hat und wie oft einzelne Personen eine Webseite regelmäßig aufrufen.

Eine solche „Identifizierung” sollte man allerdings auch nicht wörtlich nehmen. Ziel der Software ist es nicht, herauszufinden, welche natürliche Person eine Webseite aufgerufen hat. Es geht vielmehr darum, einzelne Personen abstrakt zu unterscheiden – nicht aber festzustellen, ob diese Personen nun Herr Müller oder Herr Mayer heißen.

Um diese abstrakte Unterscheidung vorzunehmen, setzt die Tracking-Software einen Cookie beim jeweiligen Internetbenutzer, um ihn später wieder zu erkennen und festzustellen, ob der Besucher bereits zuvor die Webseite aufgerufen hat. Außerdem werden die IP-Adresse, der verwendete Browser und allerhand weitere Meta-Daten des Nutzers übertragen und statistisch ausgewertet.

Datenschutzrechtliche Probleme


Datenschutzrechtlich stellen sich dabei gleich mehrere Probleme. Schon das Setzen der Cookies kann zu Problemen führen. Wird eine Tracking-Software nicht auf dem Server des Webseitenanbieters betrieben, sondern wird externe Software wie Google Analytics oder IVW benutzt, kann die Software webseitenübergreifend messen. Google erfasst kann also nicht nur die Besuche auf einer Webseite, sondern auf allen Webseiten erfassen, die Google Analytics einsetzen. Die Masse der Daten kann zu einem sehr umfassenden Profil eines Internetnutzers führen.


Nachtrag: Ob Google tatsächlich webseitenübergreifend misst, ist mir nicht bekannt. Google selbst gibt an, dies technisch weitgehend auszuschließen. Jedenfalls ist ein webseitenübergreifendes Tracking bei externen Diensten aber möglich.

Das datenschutzrechtliche Hauptproblem ist jedoch die Übertragung der IP-Adresse. Denn mit der IP-Adresse ist ein Internetanschluss eindeutig identifizierbar, theoretisch sogar mit Namen des Inhabers. Die IP-Adresse ist damit das Einfallstor für den „Personenbezug”, an den das gesamte deutsche Datenschutzrecht anknüpft. Wird also die IP-Adresse übertragen und kann mit der IP-Adresse eine natürliche Person identifiziert werden, liegt damit eine Übertragung personenbezogener Daten vor. Und eine solche benötigt eine spezielle Erlaubnis – entweder in Form einer Einwilligung des Nutzers oder in Form einer gesetzlichen Ausnahme. Ist beides nicht vorhanden, ist die Übertragung der Daten rechtswidrig.

Sinnvoller Einsatz von Tracking


Allerdings darf man auch nicht vergessen, dass es für Tracking eine Fülle von sinnvollen Einsatzmöglichkeiten gibt. Kein Online-Shop kommt ohne eine Messung der Reichweite und eine Analyse des Nutzerverhaltens aus: An welcher Stelle brechen Nutzer regelmäßig ihren Einkauf ab? Woran liegt das und kann man den Shop an dieser Stelle verbessern? Welche Produkte werden besonders häufig angesehen aber nicht verkauft? Muss man das Portofolio ausbauen?

Und auch die Werbung – der mit Abstand wichtigste Weg zur Refinanzierung im Internet – kommt ohne eine entsprechende Analyse nicht aus. Reichweite und Zielgruppe einer Internetseite bestimmen den Preis, die Aufzeichnung von Klicks ermöglicht die Messung des Erfolgs einer Werbekampagne.

Aber auch für private Betreiber von Webseiten gibt es durchaus ein berechtigtes Interesse, die Besucherstruktur einer Webseite auszuwerten. Wer etwa ein Weblog betreibt, gibt unter Umständen viele persönliche Fakten aus dem eigenen Leben preis. Da macht es schon einen Unterschied, ob die eigene Webseite täglich von 10 oder von 10.000 Besuchern genutzt wird und wie sich diese Leser statistisch zusammensetzen.

Die IP-Adresse als Wurzel des Übels


Wurzel allen, oder zumindest des größten Übels ist der Personenbezug der IP-Adresse. Ob eine IP-Adresse Personenbezug hat oder nicht, ist auch unter Juristen nach wie vor umstritten. Die wohl herrschende Meinung nimmt einen Personenbezug jedoch an. Die Konsequenz daraus ist bitter: Wo auch immer eine IP-Adresse übertragen wird, muss eine Einwilligung oder gesetzliche Ausnahme her. An die Einwilligung sind im Datenschutzrecht sehr große Anforderungen gestellt und sie muss vor der Übertragung eingeholt werden. In der Praxis ist das kaum umzusetzen. Gesetzliche Ausnahmen sind hingegen spärlich gesät und allesamt nicht auf die Übertragung solcher technischen Nebenprodukte ausgelegt.

Die Konsequenzen eines solchen Personenbezugs sind dagegen gewaltig: Sobald eine Internetseite Inhalte von einem anderen Server aus einbindet, findet eine Übertragung der IP-Adresse statt – das ist systemimmanent. Ob die IP-Adresse auf dem anderen Server gespeichert wird, lässt sich meist gar nicht sagen.

Ein Beispiel: Viele Internetseiten binden ein Logo von Creative Commons ein, um ihre Inhalte als frei zu deklarieren. Oft ist dieses Logo nicht direkt auf der jeweiligen Seite gespeichert, sondern wird von creativecommons.org aus eingebunden. Bei jedem Aufruf der Webseite findet daher eine Übertragung der IP-Adresse an creativecommons.org statt. Ob die IP-Adresse dort gespeichert wird, weiß man nicht und man hat auch keinen Einfluss darauf.



Creative Commons kann auch herausfinden, von welcher Webseite die Grafik eingebunden wurde und könnte – theoretisch – diese Daten aufzeichnen. Datenschutzrechtlich haben wir hier also fast das selbe Problem wie beim Tracking: Mit der IP-Adresse wird ein personenbezogenes Datum übertragen und dazu brauchen wir eine Einwilligung oder eine gesetzliche Erlaubnis. Ob es sich hier wirklich um eine Übertragung der Daten durch den Webseitenbetreiber handelt, ist sicher nicht ganz eindeutig. Dennoch: Der Personenbezug von IP-Adressen macht in der Praxis an allen Ecken und Enden Probleme.

Und in der Praxis kommen solche Konstruktionen sehr oft vor. Kaum eine Webseite kommt heute ohne externe Ressourcen aus. Seien es Youtube-Videos, externe Javascript-Dateien oder Amazon S3, wo statische Inhalte ausgelagert werden: Überall werden IP-Adressen an externe Server übertragen, häufig ohne dass klar ist, ob die Adressen gespeichert werden, oft sogar ohne dass genau bekannt ist, welcher Server von welchem Standort die Daten ausliefert und entsprechend die Daten speichern kann.

Tracking ist also nicht nur ein Problem von Google Analytics. Die datenschutzrechtlichen Grundlagen betreffen viele, viele andere Dienste im Internet genauso.

Ein Kompromiss muss her


Es muss also ein Kompromiss her. Dass sich selbst die Datenschutzbehörden selbst nicht immer an ihre eigenen Regeln halten, ist ein eindeutiges Indiz dafür, wie weltfremd die datenschutzrechtlichen Regelungen eigentlich sind.

Gleichzeitig darf man auch nicht übersehen, dass von Tracking-Technologien tatsächlich eine Gefahr ausgeht. Bei allen berechtigten Interessen am Tracking: Die Masse der gesammelten Daten kann zu erschreckend genauen Nutzerprofilen führen. Ein Freischein für Tracking kann entsprechend auch nicht das Ziel sein.

Dennoch: Die Speicherung oder gar nur Übertragung von IP-Adressen ist nicht das Problem beim Tracking. Eine IP-Adresse ist bei Weitem nicht so gut zur Identifizierung einzelner Nutzer geeignet, wie man denkt. Dynamische IP-Adressen wechseln ungefähr täglich, viele Nutzer gehen über die selbe IP-Adresse ins Netz. Die IP identifiziert lediglich einen Internetanschluss – das ist für Tracking-Technologien nützlich, aber alles andere als entscheidend.

Wenn das deutsche Datenschutzrecht also an die IP-Adresse anknüpft, um mit Tracking-Technologien umzugehen, dann verursacht das nicht nur Probleme bei vielen anderen Anwendungsbereichen im Internet, sondern geht völlig am eigentlichen Problem vorbei: Das Datenschutzrecht regelt einen Nebenkriegsschauplatz, der beim Tracking nicht das Hauptproblem darstellt und verursacht damit unabsehbare Auswirkungen an anderen Stellen.

Alternative: Lex Tracking


Bislang wurden diese juristischen Probleme so gelöst, dass das Gesetz einfach nicht konsequent angewendet wurde. Google Analytics existiert schon seit vielen Jahren, doch erst jetzt konnte sich der Düsseldorfer Kreis zu einer gemeinsamen, offiziellen Position durchringen. Am Bundesdatenschutzgesetz hat sich freilich nichts geändert, auch die Auslegung des Gesetzes was Personenbezug von IP-Adressen und Cookies betrifft, ist nach wie vor die selbe. Einzig die Tatsache, dass Verstöße künftig auch verfolgt werden, ist neu.

Eine Lösung für all diese Probleme wäre eine technische Datenschutzregelung, ein „lex tracking”: Welche Daten darf man im Internet von seinen Nutzern erheben und welche nicht? Welche Sicherheitsvorkehrungen muss man treffen, welche vertraglichen Absprachen sind mit externen Anbietern nötig? Zu welchen Zwecken dürfen IP-Adressen gespeichert werden? Darf man IPs erheben, aber nur in pseudonymisierter Form speichern? Kurz: Was muss ein Webseitenbetreiber speichern dürfen, welche Rechte der Nutzer muss er dabei wahren?

Diese Entscheidungen über Abstufungen unseres sehr strengen Datenschutzrechtes muss der Gesetzgeber treffen und damit Klarheit schaffen – für die Nutzer genauso wie für die Anbieter. Ein striktes Verbot von Tracking-Tools wie Google Analytics ist jedenfalls weltfremd und dauerhaft nicht durchsetzbar.

Spiegel online zu den aktuellen Diskussionen um Tracking-Software.
Telemedicus zu den Gefahren beim Tracking.
Anzeige:

Kommentare

* Duke 24.02.2011 15:23
Danke für diesen sehr guten und verständlich geschriebenen Artikel. Obwohl ich mich mit Datenschutzrecht beschäftige, habe ich bislang nie verstanden, warum webtracking ein Problem darstellt. Jetzt schon :)
* Ralph Dombach 24.02.2011 20:33
Ich kann mich nur meinem Vorredner anschliessen! Der Beitrag ist sehr kompetent und verständliche (DANKE) geschrieben!

Danke für die nützlichen Beiträge die Telemedicus immer liefert!
* Rigo Wenning 25.02.2011 21:18
Vielleicht habt ihr den Artikel einfach zu früh eingestellt, denn es gibt Neuigkeiten vom selben Tag: Das tracking ist Gegenstand rechtlicher und technischer Diskussionen. Das W3C wird aktiv um mit einer technischen Option zur Lösung beizutragen.
Mehr im Blog-Post von Thomas Roessler:
http://www.w3.org/QA/2011/02/do_not_track_at_w3c.html />
Durch die Technologie wird sich die juristische Debatte noch einmal verschieben. Aber es ist auch so, dass Leute einerseits die Fassade des Hauses verpixeln lassen, andererseits aber Social Networking benutzen. Die Bedrohung ist nur eine Seite der Medaille. 2011 verspricht jedenfalls ein spannendes Jahr für den Datenschutz zu werden.
* Rocknrolla 01.03.2011 11:35
Der Düsseldorfer Kreis hat sich mit dem Thema bereits im November 2009 befasst und hinsichtlich der Nutzerprofilerstellung eine Kürzung der IP-Adresse zur Beseitigung der Personenbezugs für erfoderlich gehalten, falls (was ja regelmäßig der Fall ist) keine Einwilligung vorliegt.

Hier der Link zu dem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund

http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.pdf?__blob=publicationFile
* Adrian 01.03.2011 11:49
Danke für den Hinweis.

Dennoch: Was ist passiert seit dem Beschluss 2009? Nichts. Ich habe es ja schon geschrieben: An der Auslegung des BDSG hat sich durch den jüngsten Beschluss des Düsseldorfer Kreises rein gar nichts geändert. Neu ist nur, dass die Rechtsauffassung der LfD jetzt auch mal durchgesetzt wird. Und das entspricht nicht meiner Vorstellung von einem Rechtsstaat.
* Rocknrolla 01.03.2011 15:07
Interessant wäre eine höchstrichterliche Klärung, ob es sich bei dynamischen IP-Adressen denn nun um personenbezogene DAten handelt oder nicht. Unter Datenschützern herrscht hier Konsens, dass dies der Fall ist. Und zwar auch auf EU-Ebene:
Auch die Art. 29 Gruppe ist dieser Aufassung. Finde gerade nicht alle Workingpaper dazu (vgl. zumindest WP 136).
* Adrian 01.03.2011 15:12
* Rocknrolla 01.03.2011 15:34
Kann ich im Ergebnis nur zustimmen. Ob fehlende Eindeutigkeit in Bezug auf die Rechtslage der Grund für das bisherige Nichteinschreiten ist, bin ich mir aber nicht so sicher. Die Meinung auf Seiten der Datenschutzbehörden ist ja seit geraumer Zeit recht eindeutig. Ich denke eher, dass es daran liegt, dass erst jetzt, wo die Eingabe eines Betroffenen vorliegt, auch ein Tätigwerden zwingend geboten ist.

Das OLG Hamburg hat vor einiger Zeit übrigens den personenbezug bei dynamischen IP-Adressen verneint (OLG Hamburg, 3.11.2010, Az. 5 W 126/10).
Allerdings fehlt es an einer echten Begründung.

Es bleibt auf jeden Fall hochinteressant.
* Adrian 01.03.2011 15:40
Also an Eingaben wird es den Datenschutzbehörden nicht mangeln, das kann ich sicher sagen. Ich glaube, es sind schlicht fehlender Mut bzw. auch fehlende Kapazitäten, sich hier und da mal auf ein gerichtliches Verfahren einzulassen, um für Klarheit zu sorgen - Rechtsprechung über Verfahren mit Datenschutzbehörden gibt es ja so gut wie gar keine (aus dem Stand ist mir keine einzige Entscheidung bekannt).

Das ist sicher gut für die potentiellen Betroffenen - wenn die Rechtslage nicht absolut eindeutig ist, hat man nichts zu befürchten. Es hat aber auch zur Folge, dass die Rechtsauffassung der Datenschutzbehörden nicht konsequent durchgesetzt wird. Zu welchen Problemen das auf Dauer führen kann, sehen wir jetzt.
* Rocknrolla 01.03.2011 16:01
Eingabenmangel herrscht sicher nicht. Aber ob es auch so viele zu den IP-Adressen gibt?

Ich kenne ehrlichgesagt auch kein solches Urteil. Generell gibt es ja wenig Urteile zu datenschutzrechtlichen Fragen.
* Adrian 01.03.2011 19:11
QUOTE:
Eingabenmangel herrscht sicher nicht. Aber ob es auch so viele zu den IP-Adressen gibt?

Also in den letzten Jahren werden es einige gewesen sein, dass es welche gibt, weiß ich positiv.

Abgesehen davon brauchen die Datenschutzbehörden keine Eingabe, um sich eines solchen Problems anzunehmen. Natürlich können die als Aufsichtsbehörde auch von Amts wegen tätig werden. Tun sie nur nie, zumindest ist mir kein Fall bekannt.
* Rocknrolla 01.03.2011 19:42
In den bisherigen Fällen wurde das Ganze aber dann wohl nicht als problematisch erachtet. Sonst wäre da doch aus was an die Öffentlichkeit gedrungen.

Angesichts der Personalsituation kein Wunder.
* Adrian 01.03.2011 20:06
QUOTE:
In den bisherigen Fällen wurde das Ganze aber dann wohl nicht als problematisch erachtet.

Und genau das kann doch nicht sein, wenn der Düsseldorfer Kreis schon Ende 2009 eine gemeinsame Position erarbeitet hat. Und dass IP-Adressen Personenbezug haben, ist ja keine neue Rechtsansicht, sondern ist schon seit ewigen Zeiten offizielle Position der Landesdatenschutzbeauftragten. Siehe zum Beispiel:
http://www.datenschutz-bremen.de/sv_internet/anonym.php /> http://www.lfd.niedersachsen.de/live/live.php?navigation_id=13025&article_id=55991&_psmand=48 />
Speziell zu Tracking auch schon aus 2009:
http://www.lfd.niedersachsen.de/live/live.php?navigation_id=13111&article_id=56184&_psmand=48 />
Die Artikel-29-Gruppe hast du ja selber genannt. Ich hab inzwischen mal geguckt, das entsprechende Paper stammt aus 2007:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf />
Wir fassen also zusammen: Schon seit mehreren Jahren halten die Datenschutzbehörden Tracking und die Speicherung von IP-Adressen für rechtswidrig. Verfahren gab es aber bis heute noch keine (mal abgesehen von dem ein oder anderen medialen Warnschuss). Wenn das keine inkonsequente Gesetzesanwendung ist, was dann?

Der Hintergrund ist klar: Wenn die LfD einmal anfangen, das Speichern von IP-Adressen tatsächlich in der Praxis zu verbieten, kommen sie aus der Arbeit nicht mehr heraus und die Folgen für das Internet und auch für die Wirtschaft wären verheerend. Darüber sind sich die LfD ja auch im Klaren.

Auf der anderen Seite müssen sie einen Personenbezug annehmen, sonst wären sie nicht zuständig. Und wären sie nicht zuständig, wäre Tracking nicht nur praktisch, sondern auch theoretisch völlig unreguliert. Aus Sicht des Datenschutzes wäre auch das ziemlich übel. Und so hat das BDSG die Datenschutzbehörden schachmatt gesetzt.
* Rocknrolla 01.03.2011 23:21
Denke diese Zusammenfassung ist absolut zutreffend.

Womit wir wieder dazu kommen: richterliche Klärung nötig.

Besser noch (meine Meinung): eine große Datenschutzreform, angepasst an die heutigen Zeit, ohne sich gleichzeitig in schnell veraltenden Spezialregelungen zu verlieren.

Und nochmal zu den Working Papers. Es gibt noch ein oder zwei weitere, in denen zur Einordnung der IP-Adressen Stellung bezogen wurde. Vllt schau ich da die Tage nochmal nach. Hilft aber auch nciht wirklich weiter, da die Position klar ist.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.